信息安全服务方案(标准版)

　 信息 安全服务方案

　 2018 年

　 第 2 页 共 38 页

　目

　录 1

　项目概述 ................................................................................................................. 4

　2

　安全服务方案 ......................................................................................................... 5

　2.1 渗透测试服务 .................................................................................................................. 5 2.1.1 渗透测试目的 ....................................................................................................... 5 2.1.2 渗透测试流程 ....................................................................................................... 6 2.1.3 渗透测试操作计划 ............................................................................................... 6 2.2 信息安全审计服务 .......................................................................................................... 8 2.2.1 安全配置审计 ....................................................................................................... 8 2.2.2 安全设备配置审计 ............................................................................................... 9 2.2.3 网络设备安全审计 ............................................................................................. 10 2.2.4 服务器安全审计 ................................................................................................. 10 2.3 漏洞扫描服务 ................................................................................................................ 11 2.3.1 漏洞扫描目的 ..................................................................................................... 11 2.3.2 漏洞扫描工具 ..................................................................................................... 12 2.3.3 漏洞扫描流程 ..................................................................................................... 13 2.3.4 漏洞扫描评估操作计划 ..................................................................................... 13 2.4 日志分析服务 ................................................................................................................ 14 2.4.1 安全日志分析 ..................................................................................................... 14 2.4.2 防火墙设备日志分析 ......................................................................................... 14 2.4.3 IDS/IPS 告警日志分析 ....................................................................................... 15 2.4.4 服务器日志分析 ................................................................................................. 16 2.5 安全管理体系评估及建议 ............................................................................................ 16 2.5.1 等级保护安全管理评估 ..................................................................................... 16 2.5.2 管理体系建设 ..................................................................................................... 21 2.6 安全加固服务 ................................................................................................................ 21 2.6.1 安全加固的目的 ................................................................................................. 21 2.6.2 安全加固的流程 ................................................................................................. 22 2.6.3 安全加固的内容 ................................................................................................. 23 2.6.4 安全加固服务操作计划 ..................................................................................... 24 2.7 应急预案制定服务 ........................................................................................................ 26 2.7.1 应急预案编写方法论 ......................................................................................... 26 2.7.2 安全预案编写思路 ............................................................................................. 28 2.7.3 应急响应预案的测试、培训和演练 .................................................................. 31 2.7.4 应急预案编制成果 ............................................................................................. 32 2.8 应急响应服务 ................................................................................................................ 32 2.8.1 应急响应服务目标和范围 ................................................................................. 32 2.8.2 应急响应事件分类 ............................................................................................. 33 2.8.3 应急响应服务机制 ............................................................................................. 33 2.8.4 应急响应服务流程 ............................................................................................. 34

　 第 3 页 共 38 页 2.8.5 应急响应服务原则 ............................................................................................. 36 2.8.6 应急响应成果报告 ............................................................................................. 36 3

　安全服务内容报价 ............................................................................................... 38

　 第 4 页 共 38 页 1 项目概述 在信息科技发展的同时，各种黑客手段、病毒技术、木马技术也在飞速发展，信息安全问题在信息化的过程中也日益突出，信息系统建设必须面对日益严峻的信息安全问题。同时，随着 XXXX 相关政务系统的发展，所面临的安全挑战也随着增大。

　因此，需要定期对 XX 系统进行渗透测试、安全审计、漏洞扫描、日志分析和安全管理体系评估、安全加固等工作，对网络现状进行评估和提供安全运维服务，对现有的网络系统和应用安全系统进行优化加固，按照确保系统的保密性、完整性、可用性的原则，做好物理层安全、网络层安全、操作系统安全、应用层安全、安全管理体系的建设，实现信息安全保障。

　 第 5 页 共 38 页

　2 安全 服务方案 信息安全是长期的攻防战，通过信息安全审计、漏洞扫描、渗透测试、源代码审核、日志分析、安全加固等服务实施，及时发现 XXX 业务系统现状中存在的主机层面、业务系统层面的安全隐患，及时提出安全建议和解决方案，增强XXX 业务系统安全性。除此之外，还应该通过安全管理体系评估、应急响应服务加强信息系统安全保障建设，完善系统安全管理体系、应急响应体系来提高整个信息系统的安全保障能力，实现信息系统长期稳定、安全的运营。

　2.1 渗透测试服务 2.1.1 渗透测试目的 渗透测试（Penetration Test）是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全作深入的探测，发现系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的问题。渗透测试是一种专业的安全服务。

　渗透测试主要依据我司安全专家已经掌握的安全漏洞和安全检测工具，模拟黑客的攻击方法在客户的授权和监督下对客户的系统和网络进行非破坏性质的攻击性测试。

　渗透测试利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对网络中的核心服务器及重要的网络设备，包括服务器、网络设备、防火墙等进行非破坏性质的模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。

　渗透测试和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题；渗透测试需要投入的人力资源较大、对测试者的专业技能要求很高（渗透测试报告的价值直接依赖于测试者的专业机能），但是非常准确，可以

　 第 6 页 共 38 页 发现逻辑性更强、更深层次的弱点。

　2.1.2 渗透测试流程 制定实施方案信息收集分析内部计划制定生成报告取得权限、提升权限客户确认客户确认 图：渗透测试流程图 2.1.3 渗透测试操作计划 渗透测试实施内容

　简要描述

　由安全工程师模拟黑客的行为模式，采用黑客最可能采用的漏洞发现技术和尽可能多的攻击方法，对业务应用系统安全性进行深入分析

　 第 7 页 共 38 页 实现机理

　 上图展现了渗透测试的三个阶段（预攻击阶段、攻击阶段、后攻击阶段）。

　在预攻击阶段，其目的是进行信息收集工作。一般可通过基本网络信息的获取、常规漏洞扫描和采用软件进行检测、对 Web 和数据库进行分析、应用分析等方式来获取信息。

　攻击阶段，是以对目标进行攻击，获取系统的一定权限为目的的。可通过基于通用设备、数据库、操作系统和应用的攻击，口令猜解技术等方式来完成。

　后攻击阶段是对渗透过程产生的痕迹进行消除，长期维持一定的权限。一般来说，可以通过口令嗅探与键盘记录、口令破解或者其他的手法来达到目的。

　工作方式

　每个季度一次渗透测试。在渗透测试过程中，为了保证应用系统的正常运行，我们只采用下列方式进行漏洞的查找和发现：

　1、 工具测试：如 appscan、pangolin、WSockExpert、NBSI 等； 2、 手工检查：根据测试人员的经验，对可疑点进行检查及验证。

　实现方式

　1. 信息收集过程 2. 漏洞扫描 3. 漏洞利用 4. 权限提升 5. 密码破解 6. 日志清除 7. 进一步渗透 8. 生成报告 主要内容

　 网络信息收集  端口扫描  远程缓冲区溢出  弱口令发掘  本地缓冲区溢出  脚本测试  网页挂马检查  Iframe 框架挂马

　 第 8 页 共 38 页  JS 文件挂马  JS 变形挂马  body 挂马  css 挂马  Javascript 挂马  WebShell  网页漏洞检查  跨站脚本  SQL 注入  代码执行  目录遍历  文件包含  脚本源码泄露  CRLF 注入  物理路径泄漏  环境变量泄漏  Cookie 篡改  URL 重定向  应用错误信息  备份文件  可能的敏感文件  可能的敏感目录  目录权限  CVS 信息泄漏  测试页面  Bash 信息泄漏  敏感信息测试  应用脆弱性发掘 （所有测试以发现问题为目标，不进行任何形式的攻击或破坏，也不包括DOS、DDOS 等影响业务正常运行的方式）

　工作结果 渗透测试报告 参加人员 我司评估小组，客户网络管理人员、系统管理人员

　2.2 信息安全审计 服务 2.2.1 安全 配置 审计 人工安全审计评估对实施人员的安全知识、安全技术和安全经验要求很高，因为他们必须了解最新的安全漏洞、掌握多种先进的安全技术和积累丰富的评估经验，这样才能对本地安全评估中位于物理层、网络层、主机层、数据层和用户

　 第 9 页 共 38 页 层的所有安全对象目标进行最有效和最完整的安全评估，并提供最合理和最及时的安全建议。

　对于各种不同的安全设备、网络设备和服务器，需要有且能够结合多年的安全评估和服务经验，建立了详细有效的本地控制台审计 CheckList，可以保证对客户的本地控制台审计能够有效有序地进行。

　我方将每半年进行一次安全配置审计工作，并根据审计结果提出安全加固建议。

　2.2.2 安全设备 配置 审计 2.2.2.1 安全设备 配置 审计描述 针对 XXX 安全设备的安全配置进行安全审计。通过安全审计，明确安全设备的运维配置，防止因安全配置不充分导致系统存在安全隐患，确保安全设备的安全性和完整性。

　2.2.2.2 安全...